Vorlage der Landesregierung

Transkript

1 Drucksache 15/ Vorlage der Landesregierung betreffend den Dreizehnten Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden Vorgelegt mit der Stellungnahme zum Achtundzwanzigsten Tätigkeitsbericht des Hessischen Datenschutzbeauftragten - Drucks. 15/ nach 30 Abs. 2 des Hessischen Datenschutzgesetzes in der Fassung vom 7. Januar Eingegangen am 30. August 2000 Ausgegeben am 11. September 2000 Druck und Auslieferung: Kanzlei des Hessischen Landtags Postfach Wiesbaden

2 2 Hessischer Landtag 15. Wahlperiode Drucksache 15/1539 Inhaltsverzeichnis Seite 1. Bearbeitung von Datenschutzbeschwerden und sonstige Prüfungen aus besonderem Anlass nach 38 Abs. 1 BDSG Von Amts wegen durchgeführte Regelüberprüfungen von Stellen, die nach 32 Abs. 1 Nr. 1 bis 3 BDSG geschäftsmäßig personenbezogene Daten verarbeiten oder nutzen Melderegister Prüfungsübersicht Schwerpunktmäßige Sonderüberprüfungen nach 38 Abs. 2 BDSG bei kleineren Auftragsdatenverarbeitern Bearbeitung von Anfragen zu Problemen des Datenschutzes Anlassunabhängige Überprüfungen bei Anbietern von Telediensten Datenverarbeitung bei Banken Fusion von Banken und Ausgliederung von Geschäftsbereichen Zweckgebundenheit eines Treuhänderdatenbestandes Übertragung von Diensleistungen Markt- und Meinungsforschung bei Banken Ausdruck von Bankleitzahl und Kontonummer im Kontoauszug Automatisches Hinzufügen der Empfänger-Anschrift auf den Kontoauszug des Überweisenden Abfrage und Speicherung der Passnummer für die Erfüllung des Geldwäschegesetzes Unzulässige Datenübermittlung im Zusammenhang mit einer Erbschaft Depot- und Kontonummer im Adressfeld sichtbar Datenerhebung beim Auto-Leasing Schufa Interpretation von Score-Werten Personenverwechslung bei Zwillingen Auskunfteien Speicherung und Übermittlung unrichtiger Daten Fragwürdige Recherche-Methoden Benachrichtigung nach 33 BDSG mit Werbung verknüpft Kreditkartenunternehmen Datenverarbeitung im Zusammenhang mit Corporate Travel (und Corporate Card) Erhebung von Daten für die Corporate Card Datenerhebung bei Kreditkarten Neue Medien, Internet-Provider Einsatz von Cookies zur Profilbildung... 24

3 Hessischer Landtag 15. Wahlperiode Drucksache 15/ Zulässigkeit der Veröffentlichung personenbezogener Daten im Internet durch die deutsche Vergabestelle für Internet-Domains DENIC eg Postfach im Impressum und bei der DENIC eg ausreichend? Veröffentlichung des Telefonverzeichnisses einer Gemeindeverwaltung im Internet Veröffentlichung von Diabetikern im Internet Aspekte internationaler Datenverarbeitungen Datenverarbeitung in Bermuda Globales Personalinformationssystem Arbeitnehmerdatenschutz Zugriffe des Arbeitgebers auf Mitarbeiter- s Abhören und Aufzeichnen von Telefonaten Nutzung von Daten einer Arbeitnehmerin für Werbezwecke Medizinischer Bereich Umgang mit Patientendaten nach dem Tod eines Arztes Aids-Hilfe Verein Datenbank über potenzielle Spender von Knochenmark Direktmarketing und Werbung Zweifelhafte Herkunft von Empfehlungsadressen Ein Dauerbrenner: Die Nichtbeachtung von Werbewidersprüchen und Auskunftsersuchen Datenverarbeitung und Beauskunftung im Versandhandel Versandhändler offenbart die Telefonnummer seiner Kunden Angabe des Geburtsdatums bei Bestellungen Datenübermittlung an Dachverband Datenverarbeitung durch Parteien Verteilen von Kopien aus dem Liegenschaftsbuch Instrumentalisierung des Datenschutzrechts Datenweitergabe an Subauftragnehmer und angebliche Missbräuche des Dienstleiters Verweigerung der Herausgabe von Akten an das Amtsgericht Externer Datenschutzbeauftragter und interne Koordination im Konzern Datensicherheit - Warum Kundendaten löschen - der Speicherplatz reicht doch noch Ordnungswidrigkeitenverfahren... 51

4 4 Hessischer Landtag 15. Wahlperiode Drucksache 15/ Bearbeitung von Datenschutzbeschwerden und sonstige Prüfungen aus besonderem Anlass nach 38 Abs. 1 BDSG Die Regierungspräsidien überprüfen als Aufsichtsbehörde nach 38 Abs. 1 BDSG im Einzelfall die Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz, soweit diese die Verarbeitung oder Nutzung personenbezogener Daten in oder aus Dateien regeln, wenn hinreichende Anhaltspunkte dafür vorliegen, dass eine dieser Vorschriften durch eine nicht-öffentliche Stelle verletzt ist, insbesondere wenn es Betroffene selbst begründet darlegen. Im Berichtsjahr wurden von den Aufsichtsbehörden in 233 Fällen Überprüfungen von nicht-öffentlichen Stellen vorgenommen, die Datenverarbeitung nach 28 BDSG für die Erfüllung eigener Geschäftszwecke betreiben oder personenbezogene Daten nach 29, 30 BDSG zur personenbezogenen oder anonymisierten Übermittlung speichern und nutzen. Auf Vorfälle in drei Unternehmen wurden die Regierungspräsidien durch Pressemeldungen aufmerksam. Die 233 Eingaben und Beschwerden betrafen: - in 40 Fällen Kreditinstitute und Banken, - in 22 Fällen Anbieter von Internet-Zugängen und Internet-Inhalten (Provider), - in 21 Fällen Unternehmen der Direktmarketing- und Werbebranche, - in 17 Fällen Versicherungsgesellschaften, - in 17 Fällen das Gesundheitswesen (Kliniken, Ärzte, Apotheken, medizinische Marktforschung), - in 14 Fällen Vereine, Dachverbände und Interessengemeinschaften, - in 14 Fällen Handels- und Wirtschaftsauskunfteien, - in 12 Fällen Adressbuchverlage und Herausgeber öffentlicher Verzeichnisse, Presse, - in 8 Fällen den Datenschutz in Arbeitsverhältnissen, - in 8 Fällen Unternehmen der Versandhandelsbranche, - in 8 Fällen den Groß- und Einzelhandel, - in 7 Fällen die Schutzgemeinschaft für allgemeine Kreditsicherung (Schufa), - in 6 Fällen Kreditkartenunternehmen, - in 4 Fällen Vermieter, Hausverwaltungen und Mietervereine, - in 6 Fällen Unternehmen der Reise- und Touristikbranche, - in 2 Fällen Adresshandelsunternehmen, - in 2 Fällen Markt- und Meinungsforschungsunternehmen, - in 2 Fällen politische Parteien, - in 2 Fällen Lotterieannahmestellen, - in 21 Fällen sonstige Stellen (z.b. Diskothek, Rechtsanwälte, Paketzusteller). Die weiter zunehmende Konzentration von Unternehmen aus dem Bereich der Geld- und Kreditwirtschaft (Banken, Auskunfteien, Schufa, Kreditkarten) am internationalen Finanzplatz Frankfurt am Main und die unverminderte Sensibilität der Bürgerinnen und Bürger für datenschutzrechtliche Fragestellungen im Zusammenhang mit der Verarbeitung ihrer Einkommens- Vermögens- und Bonitätsdaten führten erneut zu einem hohen Beschwerdeaufkommen bezüglich dieser Branche beim Regierungspräsidium in Darmstadt. Auch beim Angebot von Internet-Dienstleistungen und bei der Nutzung neuester Technologien haben hessische Unternehmen inzwischen eine Spitzenstellung innerhalb der Bundesländer eingenommen. Die Zahl der Eingaben, die die vornehmlich in Südhessen ansässigen Online-Dienste und Internet-Provider betrafen, hat sich gegenüber dem Vorjahr folglich deutlich erhöht. In insgesamt 54 Fällen waren die Beschwerden begründet. Sämtliche bei diesen Nachforschungen der Aufsichtsbehörden festgestellten unzulässigen

5 Hessischer Landtag 15. Wahlperiode Drucksache 15/ Verarbeitungen personenbezogener Daten und anderer Verstöße gegen Vorschriften des Rechts der Tele- und Mediendienste führten zu Beanstandungen der jeweiligen Verarbeitungsverfahren in den betroffenen Unternehmen. Die durch Verstöße gegen Datenschutzbestimmungen begründeten Eingaben richteten sich im Detail in zwölf Fällen gegen Kreditinstitute und Banken, in elf Fällen gegen Anbieter von Tele- und Mediendiensten (Internet), in neun Fällen gegen Firmen aus der Werbe- und Direktmarketingbranche, in vier Fällen gegen eingetragene Vereine und Dachverbände, in jeweils drei Fällen gegen Groß- und Einzelhändler, Arbeitgeber und andere Stellen, die Personal- und Bewerberdaten verarbeiten, sowie Ärzte, Krankenhäuser und andere Stellen aus dem Gesundheitssektor und in zwei Fällen gegen Wirtschaftsauskunfteien. Weitere berechtigte Beschwerden wegen Nichtbeachtung der Datenschutzbestimmungen wurden in jeweils einem Fall gegen ein Versandhandelsunternehmen, die Schufa, einen Kreditkartenanbieter, einen Verlag, eine Anwaltskanzlei, ein Unternehmen der Reise- und Touristikbranche und einen Wohnungs- und Liegenschaftsverwalter vorgebracht. Bei 20 Eingaben an die Datenschutzaufsichtsbehörden konnte der den Beschwerden zugrunde liegende Sachverhalt nicht mehr vollständig aufgeklärt werden, sodass eine abschließende Beurteilung, ob die Datenverarbeitung in zulässiger oder in unzulässiger Weise erfolgt war, nicht getroffen werden konnte. Auch wenn diese Verfahren nicht zu Beanstandungen durch die Aufsichtsbehörden führten, konnte durch die Diskussion der jeweiligen Sachverhalte eine zunehmende Sensibilisierung für datenschutzrechtliche Problemstellungen bei den speichernden Stellen erreicht werden. In 68 Fällen waren die Ermittlungen der Aufsichtsbehörden zum Ende des Berichtsjahres noch nicht abgeschlossen. Von den noch aus den Vorjahren anhängigen Beschwerden wurden 24 Fälle abgeschlossen. Die Beurteilung dieser in der Regel nur mit hohem Ermittlungsaufwand aufklärbaren Fälle durch die Aufsichtsbehörden ergab, dass davon 15 Eingaben begründet waren. Dabei hatten in vier Fällen Wirtschaftsauskunfteien, in drei Fällen Banken, in jeweils zwei Fällen Adresshändler, Internet-Anbieter und Vermieter sowie in jeweils einem Fall ein Verein und ein Versandhändler personenbezogene Daten unzulässig verarbeitet oder genutzt. 2. Von Amts wegen durchgeführte Regelüberprüfungen von Stellen, die nach 32 Abs. 1 Nr. 1 bis 3 BDSG geschäftsmäßig personenbezogene Daten verarbeiten oder nutzen 2.1 Melderegister Die Aufsichtsbehörden führen nach 38 Abs. 2 BDSG das Register der Stellen, die personenbezogene Daten geschäftsmäßig zum Zweck der personenbezogenen oder der anonymisierten Übermittlung speichern oder im Auftrag als Dienstleistungsunternehmen verarbeiten oder nutzen. Diese Stellen unterliegen nach 32 BDSG der Meldepflicht bei den Datenschutzaufsichtsbehörden. Am 1. Februar 2000 waren 801 meldepflichtige Unternehmen im Register der Aufsichtsbehörden eingetragen. Damit war eine Steigerung gegenüber dem Vorjahr von ca. 15 v.h. zu verzeichnen. Den größten Anteil hieran haben mit 649 Meldungen die nach 32 Abs. 1 Ziff. 3 BDSG gemeldeten Unternehmen, die im Auftrag Dritter als Dienstleistungsunternehmen weisungsgebunden i.s.d. 11 BDSG personenbezogene Daten verarbeiten oder nutzen. Hierbei handelt es sich um Konzern- und Dienstleistungsrechenzentren sowie um Datenerfasser, Schreibservices, Mikroverfilmer, Datenträgervernichter sowie Lettershops und ähnliche Unternehmen aus dem Bereich des Direktmarketings. Mit 85 Meldungen haben die nach 32 Abs. 1 Ziff. 2 BDSG meldepflichtigen Unternehmen der Markt- und Meinungsforschung, die personenbezogene Daten zum Zwecke der anonymisierten Übermittlung speichern, den zweitgrößten Anteil am Melderegisterbestand.

6 6 Hessischer Landtag 15. Wahlperiode Drucksache 15/1539 Den geringsten Anteil haben mit 67 Registereinträgen die nach 32 Abs. 1 Ziff. 1 BDSG gemeldeten Unternehmen, die personenbezogene Daten zum Zwecke der Übermittlung speichern. 2.2 Prüfungsübersicht Im Berichtsjahr wurden 46 Prüfungen nach 38 Abs. 2 BDSG durchgeführt. Diese betrafen folgende Unternehmen: - Servicerechenzentren 8 - Konzerndatenverarbeiter/verbundene Unternehmen 6 - Datenvernichter 8 - Adresshändler 3 - Telemarketingunternehmen/Callcenter 4 - Markt- und Meinungsforschung 2 - Mikroverfilmer 2 - Wirtschaftsauskunfteien 3 Die Prüfungen führten zu folgendem Ergebnis: - Beanstandungen 26 - Empfehlungen 14 - ohne wesentliche Beanstandungen 6 Folgende wesentliche Mängel wurden am häufigsten festgestellt: 1. Keine bzw. verspätete oder unvollständige Weisungen der Auftraggeber nach 11 BDSG 2. Keine bzw. verspätete oder unvollständige Registermeldung nach 32 BDSG 3. Fehlende oder mangelhafte Schulung bzw. Unterrichtung der nach BDSG verpflichteten Mitarbeiter 4. Fehlende bzw. unvollständige Dokumentationen 5. Erstellen von Auswertungen bzw. Listen mit personenbezogenen Daten ohne Erlaubnistatbestand 6. Leichtsinniger Umgang mit Passworten Zusätzlich wurden 107 Überprüfungen auf schriftlichem Weg (mittels Fragebogen) durchgeführt. Insoweit wird auf die gesonderte Darstellung unter Nr. 2.3 verwiesen. 2.3 Schwerpunktmäßige Sonderüberprüfungen nach 38 Abs. 2 BDSG bei kleineren Auftragsdatenverarbeitern Im zugrunde liegenden Berichtsjahr hat das Regierungspräsidium Darmstadt erneut eine besondere Datenschutzüberprüfung nach 38 Abs. 2 BDSG durchgeführt. Die Überprüfung wurde in einem schriftlichen Verfahren mit Hilfe eines Fragenkataloges durchgeführt. Aus den nach 32 Abs. 1 Nr. 3 BDSG gemeldeten Unternehmen wurden diejenigen herausgesucht, die in einem verhältnismäßig kleinen Rahmen Datenverarbeitung betreiben, sei es nun in der Form von Adressverwaltungen, Pflege der Kundenstämme der Auftraggeber, Datenverwaltung für Kleinunternehmen, Werbeaussendungen durch Serienbriefe oder als Datenerfasser. Derartige schriftliche Überprüfungen können selbstverständlich Vor-Ort- Überprüfungen nicht ersetzen; sie sind jedoch für die Aufsichtsbehörde ein rationelles Mittel, um sich einen groben Überblick zu verschaffen und Anhaltspunkte zu gewinnen, wo die größten Defizite bestehen und gegebenenfalls eine örtliche Kontrolle geboten ist. Darüber hinaus können die Befragungen den Anstoß geben, dass sich die Unternehmen überhaupt mit dem Datenschutz befassen. Insgesamt wurden 107 Unternehmen angeschrieben. Diese erhielten den Fragebogen mit insgesamt 16 Fragen und einen aktuellen Auszug aus den derzeitigen Eintragungen nach 32 BDSG. Rund 70 Fragenkataloge wurden

7 Hessischer Landtag 15. Wahlperiode Drucksache 15/ im Zeitraum von zwei Monaten - mehr oder weniger vollständig ausgefüllt - zurückgesandt. Nach Erinnerung sind bisher weitere 24 Antworten eingegangen. Der Aufsichtsbehörde ist natürlich bewusst, dass nicht alle Fragen wahrheitsgemäß beantwortet worden sind. Der Fragenkatalog enthielt eine kleine Fangfrage und weitere Möglichkeiten, eine gewisse Stimmigkeit in den Antworten feststellen zu können. Hinzu kommt die Erfahrung der Aufsichtsbehörde aus vielen Hunderten zurückliegenden Überprüfungen vor Ort. Auf diese Weise war bei ca. 10 v.h. der zurückgesendeten Fragenkataloge eine gewisse Unstimmigkeit feststellbar bzw. vermutbar. Auffallend hoch ist bei allen Stellen das Versäumnis der rechtzeitigen und korrekten Änderungsmeldungen nach 32 Abs. 4 BDSG. Bei bisher neun Unternehmen konnte festgestellt werden, dass bereits seit mehreren Jahren die Tätigkeit eingestellt war. Eine rechtzeitige erforderliche Abmeldung hat nicht stattgefunden. In sechs Fällen ist noch nicht einmal eine Abmeldung zum Gewerberegister vorgenommen worden. Die Befragung gab auch Aufschluss über datenschutzrechtliche Defizite bei den Auftraggebern: Die nach 11 Abs. 2 BDSG vorgeschriebene sorgfältige Auswahl eines Auftragnehmers sollte zumindest die Überprüfung einer korrekten Gewerbeanmeldung und einer korrekten Meldung nach 32 BDSG beinhalten. Laut Angaben der Dienstleister haben sich jedoch lediglich 7. v.h. ihrer Auftraggeber nach einer ordnungsgemäßen Meldung nach 32 BDSG erkundigt und auch die Einsicht in die Registermeldung verlangt. Nach einer Gewerbeanmeldung hat kein Auftraggeber gefragt. Nach 11 Abs. 3 BDSG darf der Auftragnehmer die Daten nur im Rahmen der Weisungen des Auftraggebers verarbeiten oder nutzen. Der Auftrag ist schriftlich zu erteilen. Dies bedeutet, dass auch die erforderlichen Weisungen in schriftlicher Form vorliegen müssen. Insgesamt 79 datenverarbeitende Stellen arbeiten jedoch ohne schriftliche Weisungen ihrer Auftraggeber. Nur 14 Auftragnehmer sind in der Lage, schriftliche Weisungen vorlegen zu können. Obwohl die Aufsichtsbehörde in zahlreichen Fällen sowohl Auftraggebern wie auch Auftragnehmern hinsichtlich der Erstellung von erforderlichen Weisungen hilfreich zur Seite gestanden hat, liegt dieses krasse Missverhältnis vor. Zu den Auftraggebern, die das angesprochene Versäumnis betrifft, gehören auch eine Reihe großer Daten verarbeitender Stellen. Dies ist umso erstaunlicher, als in den Unternehmen in Zusammenarbeit zwischen Rechtsabteilung und Datenschutzbeauftragten erforderliche Weisungen erarbeitet worden sind. Aufträge im Bereich der automatisierten Verarbeitung personenbezogener Daten wurden jedoch teilweise kurzfristig an den günstigsten Auftragnehmer vergeben. So geraten innerbetriebliche Vorschriften in den Hintergrund. Aber auch die einfachsten Sicherheitsvorschriften können so in den Hintergrund gelangen oder ganz außer Acht gelassen werden. Zur gebräuchlichsten Absicherung eines Datenbestandes bei automatisierten Verfahren gehört die Nutzung von Passworten. Für eine sinnvolle Nutzung dieser Zugriffssicherung sind einige Mindestanforderungen an die Organisation eines Passwortverfahrens zu stellen. So sollte ein Passwort mindestens sechsstellig alphanumerisch und nur der zugriffsberechtigten Person bekannt sein. Dass nach einem bestimmten Zeitraum (längstens nach sechs Monaten) ein Wechsel stattfinden sollte, hat sich mittlerweile bei vielen Datenverarbeitern herumgesprochen. Bei sechs Unternehmen erreicht ein Passwort lediglich die maximale Größe von drei Stellen. Bei 33 Unternehmen wird ganz ohne ein Passwort zur Zugriffsberechtigung gearbeitet. Lediglich 54 Unternehmen nutzen ein sechs- und mehrstelliges Passwort. Und dies, obwohl bei 29 der angefragten Unternehmen die Datenverarbeitung in Wohnungen, Häusern und/ oder Büroräumen stattfindet, die mit Familienangehörigen geteilt werden. Hinsichtlich des erforderlichen Datentransportes bestätigte die Befragung, dass der Anteil des Transportes von Datenträgern mit Hilfe der Post, besonderen Botendiensten oder durch Mitarbeiter des Auftragnehmers zurückgeht. Häufig wird der Versand der Daten stattdessen über das -Verfahren durchgeführt. Ein Verschlüsselungsverfahren allerdings, obwohl dies leicht

8 8 Hessischer Landtag 15. Wahlperiode Drucksache 15/1539 einsetzbar wäre, wird von keinem Auftraggeber verlangt und somit in keinem Auftragsverhältnis genutzt. Eine Dokumentation der Datenverarbeitung wird in den meisten Fällen nur über die Rechnungsstellung vorgenommen. Ein weiteres sehr bedenkliches Ergebnis dieser Überprüfung ist die Erkenntnis, dass bei den Datenverarbeitern erhebliche Mängel bezüglich der Kenntnis der eigenen Datenverarbeitungssysteme vorliegen. Nicht mehr als fünf Prozent der überprüften Unternehmen verwenden Verfahren zum Löschen von personenbezogenen Daten, die den Löschvorschriften des BDSG entsprechen. Alle übrigen Unternehmen sind der Auffassung, dass durch die softwaremäßige Vorgabe in den gängigen PC-Betriebssystemen eine ausreichende Löschung von Daten gewährleistet sei. Andere Unternehmen sind sogar der Auffassung, sich in keiner Weise Gedanken über das Löschen von Daten der Auftraggeber machen zu müssen. Dies ist auch eine Folge der nicht vorliegenden Weisungen nach 11 BDSG, in denen auch das Löschen von Daten geregelt sein müsste. Bereits im Tätigkeitsbericht für 1998 wurde die Thematik des Löschens angesprochen (Nr. 20.2). Wie schon dort ausgeführt, sind Daten in den heutigen Systemen nur dann als gelöscht zu bezeichnen, wenn sie mit Hilfe von spezieller Software gelöscht werden oder wenn der Anwender sich die Mühe macht, alle vorhandenen zu löschenden Datensätze vollständig mehrere Male mit Zeichen zu überschreiben. Werden Datenbestände nicht ordnungsgemäß gelöscht, so kann es dazu kommen, dass sie in unbefugte Hände gelangen und somit eine unrechtmäßige Übermittlung stattfindet (z.b. bei der Entsorgung der Datenverarbeitungsanlage). Im Rahmen dieses Berichtes können lediglich die wesentlichen Beanstandungen aufgezeigt werden. Sie zeigen aber deutlich, dass Sicherheitsvorkehrungen nur in einem sehr begrenzten Rahmen getroffen werden. Die Unternehmen, von denen bisher keinerlei Antworten vorliegen, müssen mit der Einleitung von Ordnungswidrigkeitenverfahren nach 44 BDSG rechnen. In einem Fall ist dies bereits geschehen. 3. Bearbeitung von Anfragen zu Problemen des Datenschutzes Im Berichtsjahr wurden neben den konkreten Beschwerden Betroffener erneut zahlreiche Anfragen und Bitten um datenschutzrechtliche Stellungnahmen zu laufenden Verarbeitungsverfahren oder geplanten Projekten an die Datenschutzaufsichtsbehörden herangetragen. Der Trend, dass Unternehmen die Datenschutzaufsichtsbehörden bereits in der Planungsphase um die datenschutzrechtliche Würdigung technischer und juristischer Sachverhalte für künftige Projekte bitten, hat sich fortgesetzt. Es ist offensichtlich, dass durch eine frühzeitige kooperative Zusammenarbeit der Firmen mit den Aufsichtsbehörden datenschutzrechtliche Beanstandungen problematischer oder gar unzulässiger Verfahren vermieden und damit auch Kosten minimiert werden können. Wie auch schon bei der Beschwerdebearbeitung hatte sich vor allem das Regierungspräsidium Darmstadt im Berichtsjahr aufgrund der weiter steigenden Nutzung globaler Firmennetze und weltweiter Internet-Dienste (WWW, ) durch Unternehmen, Arbeitnehmer und Privatpersonen verstärkt mit umfangreichen neuen rechtlichen Fragestellungen zum Angebot und zur Nutzung von Tele- und Mediendiensten zu beschäftigen. Die Tendenz zur weiteren Globalisierung der Wirtschaft und die vielfältigen Anwendungsmöglichkeiten neuer Informations- und Kommunikationstechnologien bringen stets Momente der Verunsicherung mit sich, wie sich an dem großen Bedarf der Unternehmen, der Verbände und der betroffenen Bürgerinnen und Bürgern nach datenschutzrechtlichen Hinweisen und Informationen zeigt. Die Aufsichtsbehörden haben beispielsweise zur Zulässigkeit der Veröffentlichung von personenbezogenen Daten von Sportlern und Sportfunktionären, Mitgliedern von Vereinen mit sozialem oder kulturellem Hintergrund und auch Arbeitnehmern im World Wide Web (WWW) Stellung genommen. Weiterhin erhielten verschiedenste Unternehmen datenschutzrechtliche Hilfe bei der Ausgestaltung ihres WWW-Auftrittes. Hier standen sowohl die Fragen zur Zulässigkeit und Sicherheit der Verarbeitung von Daten der Nutzer

9 Hessischer Landtag 15. Wahlperiode Drucksache 15/ von Telediensten als auch die Ausgestaltung von Hinweis- und Einwilligungstexten auf der Firmen-Homepage im WWW im Vordergrund. Hinweise zur Vermeidung und Abwehr des steigenden Aufkommens unverlangter Werbe- s (SPAM) waren ebenfalls gefragt. Hier zeigte sich leider schnell, dass sich die Versender dieser Massen- s oftmals im außereuropäischen Ausland befindet und den Betroffenen daher lediglich technische Abwehrmaßnahmen (z.b. Filter-Programme) empfohlen werden können. Neben der alltäglichen Beratung von Betroffenen und der rechtlichen Information von betrieblichen Datenschutzbeauftragten, Vereinen und Unternehmen lag ein inhaltlicher Schwerpunkt wie schon im Vorjahr bei den Anfragen zur Position und Funktion des betrieblichen Datenschutzbeauftragten nach 36, 37 BDSG. Vor allem in kleinen und mittleren Untenehmen gibt es immer noch erheblichen Aufklärungsbedarf zur praktischen Tätigkeit der betrieblichen Datenschutzbeauftragten. Auch problematische Fragen zur Kündigung bzw. Abberufung von Datenschutzbeauftragten mussten geklärt werden. In den Gesprächen mit den Datenschutzbeauftragten konnte außerdem festgestellt werden, dass sich die seit Jahren erwartete und im Berichtsjahr erneut nicht vollzogene Novellierung des Bundesdatenschutzgesetzes negativ auswirkt. Das beständige Warten auf die Modernisierung rechtlicher Rahmenbedingungen der Datenverarbeitung kann weder die wirtschaftliche Entwicklung in internationalen Zusammenhängen fördern, noch zur Akzeptanz datenschutzrechtlicher Regelungen durch die Unternehmen beitragen. Einige der von den Aufsichtsbehörden beantworteten Anfragen sind in diesem Bericht behandelt (siehe insbesondere 5.3, 9.1, 9.5, 10.1, 10.2, 11.1, 12.2, 12.3, 19.). 4. Anlassunabhängige Überprüfungen bei Anbietern von Telediensten 8 Teledienstedatenschutzgesetz (TDDSG) gibt den Aufsichtsbehörden die Möglichkeit, anlassunabhängige Kontrollen bei Telediensteanbietern durchzuführen. Aufgrund dieser Rechtsgrundlage hat das Regierungspräsidium Darmstadt sechs Telediensteanbieter vor Ort überprüft. Im Vordergrund stand dabei die Information über die Bestimmungen des TDDSG und auch des Mediendienstestaatsvertrages (da die Abgrenzung zwischen Tele- und Mediendiensten teilweise zweifelhaft ist). Folgende Defizite wurden am häufigsten festgestellt: - Verarbeitung von Bestandsdaten über die in 5 Abs. 1 TDDSG zugelassenen Zwecke hinaus (ohne Einwilligung), - Verarbeitung von Nutzungsdaten über die in 6 TDDSG zugelassenen Zwecke hinaus (ohne Einwilligung), - Grundsatz der Datensparsamkeit ( 3 Abs. 4 TDDSG) nicht hinreichend beachtet. 5. Datenverarbeitung bei Banken 5.1 Fusion von Banken und Ausgliederung von Geschäftsbereichen Um sich den Anforderungen des globalen Wettbewerbs zu stellen, nehmen Banken - wie andere Unternehmen auch - Fusionen oder Umstrukturierungen vor, die nach Maßgabe des Umwandlungsgesetzes (UmwG) vollzogen werden. Eine Bank (im Folgenden: Bank A) gliederte den Teilbetrieb "Privat- und Geschäftskunden" nach 123 Abs. 3 Nr. 1 UmwG auf eine andere Bank (im Folgenden: Bank B) aus. Von der Ausgliederung waren mehrere Millionen Kundenbeziehungen betroffen. Lediglich die Kundenbeziehungen zu besonders vermögenden Privatund Geschäftskunden (mit einem ausgeprägten Interesse an Vermögensanla-

10 10 Hessischer Landtag 15. Wahlperiode Drucksache 15/1539 ge- und Vorsorgeprodukten) verblieben bei der Bank A. Diese gehören zum Geschäftsbereich "Private Banking", der bereits vor der Ausgliederung intern vom Geschäftsbereich "Privat- und Geschäftskunden" unterschieden wurde, da sich unterschiedliche Bedarfsbündel auf der Kundenseite herausgebildet hatten. Die Ausgliederung umfasste auch sämtliche Arbeitsverhältnisse derjenigen Mitarbeiter, welche in dem Teilbetrieb "Privat- und Geschäftskunden" beschäftigt waren, sowie eine Vielzahl weiterer Vertrags- und Rechtsverhältnisse. Aufgrund zweier Beschwerden befasste sich die Aufsichtsbehörde mit der grundsätzlichen Frage, wie Fusionen und Ausgliederungen etc. nach dem Umwandlungsgesetz datenschutzrechtlich zu bewerten sind. a) Verschmelzung von Unternehmen (Fusion) Verschmelzungen i.s.d. 2 UmwG bzw. die Registereintragungen bewirken eine Gesamtrechtsnachfolge ( 20 UmwG). Der Begriff der "Übermittlung" i.s.d. 3 Abs. 5 Nr. 3 BDSG ist sehr weit gefasst, sodass zu überlegen ist, ob der Umwandlungsvertrag in Verbindung mit der beantragten (und erfolgten) Registereintragung als Übermittlung zu bewerten ist. Hiergegen spricht jedoch, dass der Vorgang der Verschmelzung - sei es nun bei der Verschmelzung durch Neugründung oder bei der Verschmelzung durch Aufnahme - nicht dadurch gekennzeichnet ist, dass Daten vom Vertragspartner des Kunden an einen "Dritten" i.s.d. 3 Abs. 9 BDSG gelangen, sondern dass sich die rechtliche Identität des Vertragspartners ändert. Unter welchen Voraussetzungen Änderungen der rechtlichen Identität von Unternehmen und damit aufgrund der Gesamtrechtsnachfolge ein Wechsel bzw. eine Veränderung des Vertragspartners zulässig sind, ist eine dem BDSG vorgelagerte Frage. Das BDSG regelt nur, dass sich sowohl vor als auch nach der Umwandlung die Datenverarbeitung des Kreditinstitutes nach 28 BDSG richten muss. Wenn man anderer Auffassung wäre, würde dies bedeuten, dass der Abschluss von Verschmelzungsverträgen von sehr diffizilen Abwägungen nach 28 ff. BDSG hinsichtlich aller Daten oder - im Falle von Bankverträgen - von den Einwilligungen aller betroffenen Kunden abhängig wäre. Damit würde man 20 UmwG und das UmwG aushebeln. Eine sachgerechte Auslegung sowohl des BDSG als auch des UmwG kann daher nur von zwei unterschiedlichen Regelungsmaterien ausgehen, die sich nicht überschneiden, sondern eher in einer Art Stufenverhältnis zueinander stehen: Zuerst ist nach Maßgabe des UmwG zu entscheiden, ob die Verschmelzung überhaupt zulässig ist. Danach erst ist das BDSG maßgeblich für die Datenverarbeitung durch das "neue" Unternehmen. Im Übrigen lässt sich die datenschutzrechtliche Irrelevanz von Verschmelzungen auch aus 132 UmwG ableiten: In 132 UmwG hat der Gesetzgeber die Gestaltungsfreiheit für den Abschluss von Umwandlungsverträgen durch die Bezugnahme auf Normen außerhalb des Umwandlungsgesetzes begrenzt. Dies hat er jedoch nur für ganz spezielle Umwandlungsarten getan. Unabhängig davon, ob das Bundesdatenschutzgesetz tatsächlich zu den nach 132 UmwG zu beachtenden Schranken gehört (siehe nachfolgend unter b), führt zumindest der Umkehrschluss aus 132 UmwG dazu, dass das Bundesdatenschutzgesetz jedenfalls beim Abschluss und Vollzug sonstiger Umwandlungsverträge unbeachtlich sein muss. Im Ergebnis ist das BDSG für die Verschmelzung von Unternehmen nicht anwendbar. Die Aufsichtsbehörde teilt damit die in den Hinweisen Nr. 38 des Innenministeriums Baden-Württemberg zum Datenschutz für die private Wirtschaft (Staatsanzeiger für Baden-Württemberg 2000, vom 18. Januar 2000, [Punkt A.3.]) vertretene Rechtsauffassung. b) Aufspaltung, Abspaltung und Ausgliederung Spezielle Problematik des 132 UmwG

11 Hessischer Landtag 15. Wahlperiode Drucksache 15/ Bei Ausgliederungen, Aufspaltungen und Abspaltungen i.s.d. 123 UmwG bewirkt die Registereintragung der entsprechenden Verträge eine partielle Gesamtrechtsnachfolge nach 131 UmwG. Für die genannten Umwandlungsarten gilt 132 UmwG. Danach bleiben allgemeine Vorschriften, welche die Übertragbarkeit eines bestimmten Gegenstandes ausschließen oder an bestimmte Voraussetzungen knüpfen oder nach denen die Übertragbarkeit eines bestimmten Gegenstandes einer staatlichen Genehmigung bedarf, durch die Wirkungen der Eintragung nach 131 UmwG [= partielle Gesamtrechtsnachfolge] unberührt. 399 des Bürgerlichen Gesetzbuches steht der Aufspaltung nicht entgegen. Nach dem Zweck des 132 UmwG sollen sich rechtliche Schranken, die einer Einzelrechtsnachfolge entgegenstehen, auch auf die Wirksamkeit der Gesamtrechtnachfolge auswirken. Der Gesetzgeber wollte damit der Gefahr, dass die speziellen Formen der Umwandlung nach 123 UmwG nur gewählt werden, um die für die Einzelübertragung geltenden Schranken zu umgehen, entgegenwirken (Teichmann in Lutter (Hrsg.), UmwG, 132 Rn. 2,3). Es stellt sich daher die Frage, ob das BDSG einer Einzelrechtsnachfolge entgegenstünde. Hierbei ist nicht maßgeblich, ob die Kundendaten als eigenständiges Vermögensgut veräußert werden können, sondern es kommt darauf an, ob das BDSG der Einzel-Übertragung eines Kundenvertrages entgegenstünde. Denn wenn ein Kundenvertrag wirksam übergeht, dann darf der neue Vertragspartner selbstverständlich alle vom alten Vertragspartner im Rahmen des Vertragsverhältnisses zulässigerweise gespeicherten Daten weiter nutzen und verarbeiten. Die Einzelübertragung der Rechte und Pflichten aus den einzelnen Bankverträgen erfordert zivilrechtlich zumindest eine Schuldübernahme, welche nach 414, 415 BGB der Einwilligung bzw. Genehmigung des Gläubigers (Bankkunden) bedarf. Die im BGB nicht explizit geregelte Übertragung einer ganzen Vertragsposition (hier also des Bankvertrages mit den Kunden) ist nach der Rechtsprechung nur nach Mitwirkung/Zustimmung aller Beteiligten, also auch des Kunden zulässig. In der Praxis wird sich daher die Frage, ob der Abschluss entsprechender (auf die Schuld- bzw. Vertragsübernahme gerichteter) Vereinbarungen und die in deren Vollzug erfolgende Datenweitergabe als Übermittlungen zu bewerten sind, gar nicht stellen. Hiervon zu unterscheiden sind freilich die Fälle, bei denen Kundendaten nicht im Gefolge einer zivilrechtlich wirksamen Schuld- bzw. Vertragsübernahme, sondern unabhängig oder im Vorgriff auf eine solche (bzw. im Hinblick auf eine wegen Fehlens der Einwilligung/Genehmigung des Kunden noch schwebend unwirksame Vertragsübernahme) übertragen werden. In diesen Fällen läge zweifellos eine Übermittlung vor. Die Abtretung einer Forderung wird ebenfalls als Übermittlung bewertet (vgl. Bergmann/Möhrle/Herb, BDSG, 28 Rn für die Abtretung ärztlicher Honorarforderungen). Dies könnte ein Argument sein, dann auch die Schuldübernahme und die komplette Vertragsübernahme als Übermittlung zu bewerten (bzw. genauer den Gesamtvorgang der Vereinbarung nebst Vollzug). Zwingend erscheint dies jedoch nicht. Vielmehr könnte man durchaus das Verhältnis des BDSG zu den zivilrechtlichen Regelungen des BGB und der daraus entwickelten Rechtsprechung über die Übertragung von Vertragsverhältnissen als eine Art Stufenverhältnis ansehen (vgl. oben a): Die für die Verarbeitung von Kundendaten zentrale Norm des 28 Abs. 1 Nr. 1 BDSG knüpft an das Bestehen eines Vertragsverhältnisses an, dessen Zustandekommen wird nicht geregelt. (Der Abschluss eines Vertrages kann nicht als Übermittlung gewertet werden.) Demzufolge ist fraglich, ob die Übertragung von Verträgen unter den Begriff der Übermittlung fallen kann. Wie bereits erwähnt, ist die Frage aber jedenfalls in der Praxis nicht (bzw. allenfalls im Hinblick auf die Form der zivilrechtlich oh-